CN110493179B - 基于时间序列的网络安全态势感知系统和方法 - Google Patents
基于时间序列的网络安全态势感知系统和方法 Download PDFInfo
- Publication number
- CN110493179B CN110493179B CN201910597732.6A CN201910597732A CN110493179B CN 110493179 B CN110493179 B CN 110493179B CN 201910597732 A CN201910597732 A CN 201910597732A CN 110493179 B CN110493179 B CN 110493179B
- Authority
- CN
- China
- Prior art keywords
- data
- curve
- situation
- network security
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于时间序列的网络安全态势感知系统和方法,该模型包括:数据预处理模块、态势分析模块和态势预测模块;该方法包括:首先采集不同来源的数据集,提取数据中的主成分信息,并利用D‑S证据理论对主成分数据进行融合分析,然后在漏洞威胁的基础上添加了资产重要性,得到了网络的安全态势值,最后根据不同情况,或者选择基于傅里叶曲线拟合的感知算法来预测未来时间段的态势值,绘制网络安全态势预测曲线;或者选择基于曲线轮廓相似性的感知算法,来预测未来时间段的态势值。本发明使得网络安全态势的预测更加准确、方便、有效和合理,同时通过网络安全态势预测图更能清晰、直观的反映未来一段时间内的网络安全态势。
Description
技术领域
本发明涉及计算机网络安全领域,具体涉及一种基于时间序列的网络安全态势感知系统和方法。
背景技术
随着计算机网络的快速发展,网络攻击事件逐年增多,网络安全问题也成为人们当前关注的焦点,通常对网络安全态势进行预测,可以在网络攻击事件发生前掌握网络的安全状态,从而采取相应的防护措施,避免遭受不必要的攻击和损失。
但是,对于网络安全态势的研究,国内起步较晚,大多为网络威胁量化过程和入侵检测过程的研究,只能分析过去或当前的网络安全态势,无法进行网络安全态势的预测,而且有少数的预测模型,也只能适用于特定的标准体系和应用场景,特别是对于一些安全漏洞库网站公布的漏洞预警信息,由于具有高度的随机性和离散性,且符合时间序列的特性,从而造成普通的态势分析模型只能根据统计方法得到某些属性的分布状况,分析当前的网络安全状态,但无法进行有效、合理的态势预测。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种基于时间序列的网络安全态势感知系统和方法,其主要是利用轮廓匹配算法和傅里叶拟合算法实现的;通过对大量漏洞信息进行分类统计,绘制网络安全态势图,利用历史时间段的网络安全态势来预测未来时间段的网络态势值,绘制网络安全态势预测图,从而进行有效、合理的网络安全态势预测。
为实现上述目的,本发明提供的技术方案是:
一种基于时间序列的网络安全态势感知系统,包括数据预处理模块、态势分析模块和态势预测模块,其中:
所述数据预处理模块,用于收集不同来源的数据集,提取影响网络安全态势的主成分数据,将其通过数据融合技术得到系统中主机的漏洞威胁值,并按照漏洞类型分类,得到主机中每类漏洞的威胁值;
所述态势分析模块,用于根据提取的设备资产信息进行评估,利用设备的安全类型、主机连接数量和隐私数据量计算其在网络中的重要性,然后结合数据融合得到的漏洞威胁值,计算整体网络的安全态势值,并根据时间节点的划分得到网络安全态势值序列,绘制网络安全态势曲线;
所述态势预测模块,用于根据得到的网络安全态势值序列和态势曲线,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法,来预测未来时间段的态势值,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;当计算时间要求短时,选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值。
在上述模型中,所述数据预处理模块包括数据采集子模块、数据主成分提取子模块和数据融合处理子模块,具体的:
所述数据采集子模块,用于采集包含漏洞数据、系统运行数据、攻击事件数据和资产数据的这四类不同来源的数据集;
其中,漏洞数据可通过爬虫的方式从CNNVD、CNVD和CVE等网站采集得到;系统运行数据可由系统主机的日志信息中得到;攻击事件数据可从IDS、防火墙和交换机等设备的日志信息中得到;资产数据是指网络系统中的硬件设备信息和用户资料信息;
所述数据主成分提取子模块,用于从漏洞数据、系统运行数据、攻击事件数据和资产数据中提取对网络安全态势分析有用的主成分数据,以提升算法效率,减小模型计算负担;
其中,从漏洞数据中提取漏洞的名称、编号、类型、发布时间、影响设备、威胁等级和商家补丁信息;从系统运行数据中提取IP、端口、协议、指令和网络数据量信息;从攻击事件数据中提取攻击的时间、类型、平台、行为和漏洞利用信息;从资产数据中提取设备的类型、连接数和其中的隐私数据量;
所述数据融合处理子模块,用于根据提取的主成分数据类型的不同,取值范围的不同,将各类型数据的取值数值化和归一化,并利用D-S证据理论对数据集进行融合处理,计算某一漏洞对网络中主机等设备的威胁程度,即漏洞威胁值。
基于时间序列的网络安全态势感知方法,具体包括以下步骤:
S1、收集不同来源的数据集,提取影响网络安全态势的主成分数据,将其通过数据融合技术得到系统中主机的漏洞威胁值,并按照漏洞类型分类,得到主机中每类漏洞的威胁值;
S2、根据设备的资产信息进行评估,利用设备的安全类型、主机连接数量和隐私数据量计算其在网络中的重要性然后结合数据融合得到的漏洞威胁值Evi,计算整体网络N的安全态势值E,并根据时间节点的划分得到网络安全态势值序列,绘制网络安全态势曲线,安全态势值E的计算公式为;
S3、根据得到的网络安全态势值序列和态势曲线,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法来预测未来时间段的态势值,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;当对于计算时间要求较短时,选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值。
在上述方法中,所述步骤S1具体包括以下步骤:
S101、采集包含漏洞数据、系统运行数据、攻击事件数据和资产数据的这四类不同来源的数据集;其中,漏洞数据可通过爬虫的方式从CNNVD、CNVD和CVE等网站采集得到;系统运行数据可由系统主机的日志信息中得到;攻击事件数据可从IDS、防火墙和交换机等设备的日志信息中得到;资产数据是指网络系统中的硬件设备信息和用户资料信息;
S102、从漏洞数据、系统运行数据、攻击事件数据和资产数据中提取对网络安全态势分析有用的主成分数据,以提升算法效率,减小模型计算负担;其中,从漏洞数据中提取漏洞的名称、编号、类型、发布时间、影响设备、威胁等级和商家补丁信息;从系统运行数据中提取IP、端口、协议、指令和网络数据量信息;从攻击事件数据中提取攻击的时间、类型、平台、行为和漏洞利用信息;从资产数据中提取设备的类型、连接数和其中的隐私数据量;
S103、根据提取的主成分数据类型的不同,取值范围的不同,将各类型数据的取值数值化和归一化,并利用D-S证据理论对数据集进行融合处理,计算某一漏洞对网络中主机等设备的威胁程度,即漏洞威胁值。
在上述方法中,所述步骤S103具体包括以下步骤:
S103a、针对某一漏洞Vi,根据提取的其主成分信息和主机Hk的运行状态信息建立攻防博弈矩阵,得到该漏洞对主机Hk的静态严重性分值Si,再结合预先规定的该类型漏洞的威胁标准值S,计算漏洞Vi的静态严重性证据Svi,计算公式为:
S103b、从提取的攻击事件主成分数据中获得一段时间内主机Hk上,被利用漏洞Vi进行攻击的事件数量Ai,统计该时间段内主机Hk产生的总攻击事件数量A,计算主机Hk的攻击信息证据Avi,计算公式为:
S103c、根据D-S证据理论的识别框架进行证据合成,得到漏洞Vi的威胁值Evi,Evi越大表明漏洞Vi对主机Hk的威胁越大,主机越不安全,Evi的计算公式为:
其中,Avi为计算主机Hk的攻击信息证据,Svi为漏洞Vi的静态严重性证据。
在上述方法中,所述步骤S3中,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法,即先通过网络安全态势值序列来计算出一条最大拟合程度的傅里叶曲线,然后再利用该曲线的表达式计算未来时间段的态势值的算法,其具体包括以下步骤:
S301、设定时间序列的间隔t,比如以天、周或月为时间间隔,对一年的时间序列进行划分;
S302、以t为单位统计网络安全态势值,形成以时间间隔点为横坐标,网络安全态势值为纵坐标的坐标点数组;
S303、根据时间间隔t内坐标的数量计算傅里叶拟合的级数n,利用计算机软件进行傅里叶曲线拟合,得到拟合参数a0,a1,b1,…,an,bn和w,从而确定傅里叶拟合公式:
f(x)=a0+a1cos(wx)+b1sin(wx)+…+
ancos(nwx)+bnsin(nwx)
S304、以未来的时间点为横坐标x,利用傅里叶拟合公式计算得到未来时间点的态势预测值,将所有时间点的态势预测值连接,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线。
在上述方法中,所述步骤S3中,当对于计算时间要求较短时,选择基于曲线轮廓相似性的感知算法,即先通过网络安全态势曲线的形状轮廓来找到最相似的两部分样本数据,然后再进行预测未来时间段态势值的一种算法,其具体包括以下步骤:
S311、设定时间t,即态势曲线的横坐标间距,根据实际的网络安全态势曲线计算态势序列每个时间间隔t内的曲线片段的梯度,建立梯度表,存储曲线片段的坐标和梯度,梯度计算公式为:
其中,t为时间间隔,e为时间间隔t内的态势值变化量,g为态势曲线梯度;
S312、设定曲线匹配的时间间隔T,T大于时间序列的间隔t,且大小是t的正整数倍,根据实际的曲线长度确定合适的匹配时间间隔T,取Ti内坐标数据为样本数据fi;
S313、使用梯度匹配算法将样本数据fi的态势曲线Li与总时间序列的态势曲线L进行匹配,找到匹配度最高的曲线为Lj;
S314、选取曲线Lj下一时间间隔T内的曲线Lj+1为预测曲线,即Lj+1为待测样本fi的态势预测曲线,得到相应的态势预测值;
在上述方法中,所述步骤S313中,在使用梯度匹配算法时,其具体方法为:
先利用梯度匹配算法进行样本曲线与总态势曲线的匹配,然后采取从后到前的匹配策略,每次匹配一个曲线片段,并从梯度表中寻找与样本曲线梯度差最小的曲线片段,直至匹配到样本首部,最后将上述曲线片段组合,从中选取总误差最小的完整曲线作为与样本曲线相似度最高的匹配结果。
本发明提供的基于时间序列的网络安全态势感知系统的工作原理为:首先采集不同来源的数据集,提取这些数据中用于态势感知的主成分信息,并利用D-S证据理论对提取的主成分信息数据进行了融合分析,然后在漏洞威胁的基础上添加了资产重要性,得到了网络的安全态势值,最后根据不同情况,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法来预测未来时间段的态势值,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;当计算时间要求短时,选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值。
与现有技术相比,本发明的优点为:
通过对大量漏洞信息进行分类统计,提取用于态势感知的主成分信息,融合计算后绘制网络安全态势图,利用历史时间段的网络安全态势预测未来时间段的网络态势值,绘制网络安全态势预测图,并根据不同的情况选择不同的计算方法,使得网络安全态势的预测更加准确、方便、有效和合理,同时通过网络安全态势预测图更能清晰、直观的反映未来一段时间内的网络安全态势。
附图说明
图1为本发明基于时间序列的网络安全态势感知系统的示意图;
图2为本发明基于时间序列的网络安全态势感知方法的流程图。
具体实施方式
以下结合附图及实施例对本发明作进一步详细说明。
参阅图1所示,本发明提供的基于时间序列的网络安全态势感知系统,其包括数据预处理模块1、态势分析模块2和态势预测模块3,其中:
数据预处理模块1,用于收集不同来源的数据集,提取影响网络安全态势的主成分数据,将其通过数据融合技术得到系统中主机的漏洞威胁值,并按照漏洞类型分类,得到主机中每类漏洞的威胁值;
态势分析模块2,用于根据提取的设备资产信息进行评估,利用设备的安全类型、主机连接数量和隐私数据量计算其在网络中的重要性,然后结合数据融合得到的漏洞威胁值,计算整体网络的安全态势值,并根据时间节点的划分得到网络安全态势值序列,绘制网络安全态势曲线;
态势预测模块3,用于根据得到的网络安全态势值序列和态势曲线,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法,来预测未来时间段的态势值,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;当计算时间要求短时,选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值。
更具体的说,在本发明态势感知模型实施例中,数据预处理模块1包括数据采集子模块1.1、数据主成分提取子模块1.2和数据融合处理子模块1.3,具体的:
数据采集子模块1.1,用于采集包含漏洞数据、系统运行数据、攻击事件数据和资产数据的这四类不同来源的数据集;
其中,漏洞数据可通过爬虫的方式从CNNVD、CNVD和CVE等网站采集得到;系统运行数据可由系统主机的日志信息中得到;攻击事件数据可从IDS、防火墙和交换机等设备的日志信息中得到;资产数据是指网络系统中的硬件设备信息和用户资料信息;
数据主成分提取子模块1.2,用于从漏洞数据、系统运行数据、攻击事件数据和资产数据中提取对网络安全态势分析有用的主成分数据,以提升算法效率,减小模型计算负担;
其中,从漏洞数据中提取漏洞的名称、编号、类型、发布时间、影响设备、威胁等级和商家补丁信息;从系统运行数据中提取IP、端口、协议、指令和网络数据量信息;从攻击事件数据中提取攻击的时间、类型、平台、行为和漏洞利用信息;从资产数据中提取设备的类型、连接数和其中的隐私数据量;
数据融合处理子模块1.3,用于根据提取的主成分数据类型的不同,取值范围的不同,将各类型数据的取值数值化和归一化,并利用D-S证据理论对数据集进行融合处理,计算某一漏洞对网络中主机等设备的威胁程度,即漏洞威胁值。
参阅图1所示,本发明实施例中提供的基于时间序列的网络安全态势感知方法,具体包括以下步骤:
S1、收集不同来源的数据集,提取影响网络安全态势的主成分数据,将其通过数据融合技术得到系统中主机的漏洞威胁值,并按照漏洞类型分类,得到主机中每类漏洞的威胁值;
并根据时间节点的划分得到网络安全态势值序列,绘制网络安全态势曲线;
S3、根据得到的网络安全态势值序列和态势曲线,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法来预测未来时间段的态势值,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;当计算时间要求短时,选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值。
更具体的说,在本发明态势感知方法中,步骤S1的具体步骤为:
S101、采集包含漏洞数据、系统运行数据、攻击事件数据和资产数据的这四类不同来源的数据集;其中,漏洞数据可通过爬虫的方式从CNNVD、CNVD和CVE等网站采集得到;系统运行数据可由系统主机的日志信息中得到;攻击事件数据可从IDS、防火墙和交换机等设备的日志信息中得到;资产数据是指网络系统中的硬件设备信息和用户资料信息;
S102、从漏洞数据、系统运行数据、攻击事件数据和资产数据中提取对网络安全态势分析有用的主成分数据,以提升算法效率,减小模型计算负担;其中,从漏洞数据中提取漏洞的名称、编号、类型、发布时间、影响设备、威胁等级和商家补丁信息;从系统运行数据中提取IP、端口、协议、指令和网络数据量信息;从攻击事件数据中提取攻击的时间、类型、平台、行为和漏洞利用信息;从资产数据中提取设备的类型、连接数和其中的隐私数据量;
S103、根据提取的主成分数据类型的不同,取值范围的不同,将各类型数据的取值数值化和归一化,并利用D-S证据理论(Dempster/Shafer证据理论,作为一种不确定推理方法)对数据集进行融合处理,计算某一漏洞对网络中主机等设备的威胁程度,即漏洞威胁值。
更具体的说,本发明态势感知方法中,步骤S103的具体步骤为:
S103a、针对某一漏洞Vi,根据提取的其主成分信息和主机Hk的运行状态信息建立攻防博弈矩阵,得到该漏洞对主机Hk的静态严重性分值Si,再结合预先规定的该类型漏洞的威胁标准值S,计算漏洞Vi的静态严重性证据Svi,计算公式为:
S103b、从提取的攻击事件主成分数据中获得一段时间内主机Hk上,被利用漏洞Vi进行攻击的事件数量Ai,统计该时间段内主机Hk产生的总攻击事件数量A,计算主机Hk的攻击信息证据Avi,计算公式为:
S103c、根据D-S证据理论的识别框架进行证据合成,得到漏洞Vi的威胁值Evi,Evi越大表明漏洞Vi对主机Hk的威胁越大,主机越不安全,Evi的计算公式为:
其中,Avi为计算主机Hk的攻击信息证据,Svi为漏洞Vi的静态严重性证据。
更具体的说,在本发明态势感知方法中,步骤S3中,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法,即先通过网络安全态势值序列来计算出一条最大拟合程度的傅里叶曲线,然后再利用该曲线的表达式计算未来时间段的态势值的算法,其具体包括以下步骤:
S301、设定时间序列的间隔t,比如以天、周或月为时间间隔,对一年的时间序列进行划分,例如:以月为时间间隔的话,一个月的数据点有10到12个,选择的傅里叶级数为4;
S302、以t为单位统计网络安全态势值,形成以时间间隔点为横坐标,网络安全态势值为纵坐标的坐标点数组;
S303、根据时间间隔t内坐标的数量计算傅里叶拟合的级数n,利用计算机软件进行傅里叶曲线拟合(计算机软件例如:Matlab软件中的拟合函数fit),得到拟合参数a0,a1,b1,…,an,bn和w,从而确定傅里叶拟合公式:
f(x)=a0+a1cos(wx)+b1sin(wx)+…+
ancos(nwx)+bnsin(nwx)
S304、以未来的时间点为横坐标x(除了起始的4个点,少于4个点无法拟合傅里叶曲线),利用傅里叶拟合公式计算得到未来时间点的态势预测值,将所有时间点的态势预测值连接,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线。
更具体的说,在本发明态势感知方法中,步骤S3中,当对于计算时间要求较短时,选择基于曲线轮廓相似性的感知算法,即先通过网络安全态势曲线的形状轮廓来找到最相似的两部分样本数据,然后再预测未来时间段态势值的一种算法,其具体包括以下步骤:
S311、设定时间t,即态势曲线的横坐标间距,可以以天、周或月为时间间隔,根据实际的网络安全态势曲线计算态势序列每个时间间隔t内的曲线片段的梯度,建立梯度表,存储曲线片段的坐标和梯度,梯度计算公式为:
其中,t为时间间隔,e为时间间隔t内的态势值变化量,g为态势曲线梯度;
S312、设定曲线匹配的时间间隔T,T大于时间序列的间隔t,且大小是t的正整数倍,其中:T越大,匹配过程越复杂,匹配成功的概率越低,但匹配成功后的预测结果越准确,需要根据实际的曲线长度确定合适的匹配时间间隔T,取Ti内坐标数据为样本数据fi;
S313、使用梯度匹配算法将样本数据fi的态势曲线Li与总时间序列的态势曲线L进行匹配,找到匹配度最高的曲线为Lj;
S314、选取曲线Lj下一时间间隔T内的曲线Lj+1为预测曲线,即Lj+1为待测样本fi的态势预测曲线,得到相应的态势预测值;
更具体的说,在本发明态势感知方法中,步骤S313中,在使用梯度匹配算法时,其具体方法为:
先利用梯度匹配算法进行样本曲线与总态势曲线的匹配,然后采取从后到前的匹配策略,每次匹配一个曲线片段,并从梯度表中寻找与样本曲线梯度差最小的曲线片段,直至匹配到样本首部,最后将上述曲线片段组合,从中选取总误差最小的完整曲线作为与样本曲线相似度最高的匹配结果。
本发明提供了两种算法来实现基于时间序列的网络安全态势感知,其中基于傅里叶曲线拟合的感知算法计算比较复杂,耗时较大,但拟合效果较好,能够以较小的误差拟合到所有的数据点,而且傅里叶函数的拟合效果与傅里叶级数n有关,n越大,拟合效果越好,但计算也越复杂,所以选取合适的n是该算法拟合效果的关键;基于曲线轮廓相似性的感知算法拟合效果好,计算时间快,但会出现找不到最佳匹配曲线的结果,需要人为设置最短的匹配曲线。
本发明提供的基于时间序列的网络安全态势感知系统的工作原理为:首先采集不同来源的数据集,提取这些数据中用于态势感知的主成分信息,并利用D-S证据理论对提取的主成分信息数据进行了融合分析,然后在漏洞威胁的基础上添加了资产重要性,得到了网络的安全态势值,最后根据不同情况,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法来预测未来时间段的态势值,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;当计算时间要求短时,选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (6)
1.基于时间序列的网络安全态势感知系统,其特征在于,包括数据预处理模块(1)、态势分析模块(2)和态势预测模块(3),其中:
所述数据预处理模块(1),用于收集不同来源的数据集,得到包含漏洞数据、系统运行数据、攻击事件数据和资产数据这四类不同来源的数据集;并从中提取影响网络安全态势的主成分数据,将其通过数据融合技术得到系统中主机的漏洞威胁值;
所述态势分析模块(2),用于根据提取的设备资产数据进行评估,利用设备的安全类型、主机连接数量和隐私数据量计算其在网络中的重要性,然后结合通过数据融合得到的漏洞威胁值,计算整体网络的安全态势值,并根据时间节点的划分得到网络安全态势值序列,绘制网络安全态势曲线;
所述态势预测模块(3),用于根据得到的网络安全态势值序列和态势曲线,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法,来预测未来时间段的态势值,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;当要求计算时间短时,选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值;
当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法,即先通过网络安全态势值序列来计算出一条最大拟合程度的傅里叶曲线,然后再利用该曲线的表达式计算未来时间段的态势值,其具体包括以下步骤:
S301、设定时间序列的间隔t,以天、周或月为时间间隔,对一年的时间序列进行划分;
S302、以t为单位统计网络安全态势值,形成以时间间隔点为横坐标,网络安全态势值为纵坐标的坐标点数组;
S303、根据时间间隔t内坐标的数量计算傅里叶拟合的级数n,利用计算机软件进行傅里叶曲线拟合,得到拟合参数a0,a1,b1,…,an,bn和w,从而确定傅里叶拟合公式:
f(x)=a0+a1cos(wx)+b1sin(wx)+…+ancos(nwx)+bnsin(nwx)
S304、以时间点为横坐标x,上述时间点至少多于4个,少于4个点无法拟合傅里叶曲线,利用傅里叶拟合公式计算得到未来时间点的态势预测值,将所有时间点的态势预测值连接,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;
当要求计算时间短时,选择基于曲线轮廓相似性的感知算法,即先通过网络安全态势曲线的形状轮廓来找到最相似的两部分样本数据,然后再预测未来时间段态势值的一种算法,其具体包括以下步骤:
S311、设定时间t,即态势曲线的横坐标间距,以天、周或月为时间间隔,根据实际的网络安全态势曲线计算态势序列每个时间间隔t内的曲线片段的梯度,建立梯度表,存储曲线片段的坐标和梯度,梯度计算公式为:
其中,t为时间间隔,e为时间间隔t内的态势值变化量,g为态势曲线梯度;
S312、设定曲线匹配的时间间隔T,T大于时间序列的间隔t,且大小是t的正整数倍,取Ti内坐标数据为样本数据fi;
S313、使用梯度匹配算法将样本数据fi的态势曲线Li与总时间序列的态势曲线L进行匹配,找到匹配度最高的曲线为Lj;
S314、选取曲线Lj下一时间间隔T内的曲线Lj+1为预测曲线,即Lj+1为待测样本fi的态势预测曲线,得到相应的态势预测值。
2.如权利要求1所述的基于时间序列的网络安全态势感知系统,其特征在于,所述数据预处理模块(1)包括数据采集子模块(1.1)、数据主成分提取子模块(1.2)和数据融合处理子模块(1.3),具体的:
所述数据采集子模块(1.1),用于采集包含漏洞数据、系统运行数据、攻击事件数据和资产数据这四类不同来源的数据集;
其中,漏洞数据可通过爬虫的方式从CNNVD、CNVD和CVE等网站采集得到;系统运行数据可由系统主机的日志信息中得到;攻击事件数据可从IDS、防火墙和交换机等设备的日志信息中得到;资产数据是指网络系统中的硬件设备信息和用户资料信息;
所述数据主成分提取子模块(1.2),用于从漏洞数据、系统运行数据、攻击事件数据和资产数据中提取对网络安全态势分析有用的主成分数据,以提升算法效率,减小模型计算负担;
其中,从漏洞数据中提取漏洞的名称、编号、类型、发布时间、影响设备、威胁等级和商家补丁信息;从系统运行数据中提取IP、端口、协议、指令和网络数据量信息;从攻击事件数据中提取攻击的时间、类型、平台、行为和漏洞利用信息;从资产数据中提取设备的类型、连接数和其中的隐私数据量;
所述数据融合处理子模块(1.3),用于根据提取的主成分数据类型的不同,取值范围的不同,将各类型数据的取值数值化和归一化,并利用D-S证据理论对数据集进行融合处理,计算某一漏洞对网络中主机等设备的威胁程度,即漏洞威胁值。
3.基于时间序列的网络安全态势感知方法,其特征在于,具体包括以下步骤:
S1、收集不同来源的数据集,提取影响网络安全态势的主成分数据,将其通过数据融合技术得到系统中主机的漏洞威胁值,并按照漏洞类型分类,得到主机中每类漏洞的威胁值;
S2、根据设备的资产信息进行评估,利用设备的安全类型、主机连接数量和隐私数据量计算其在网络中的重要性然后结合通过数据融合得到的漏洞威胁值Evi,计算整体网络N的安全态势值E,并根据时间节点的划分得到网络安全态势值序列,绘制网络安全态势曲线,安全态势值E的计算公式为;
S3、根据得到的网络安全态势值序列和态势曲线,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法来预测未来时间段的态势值,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;当要求计算时间短时,选择基于曲线轮廓相似性的感知算法来预测未来时间段的态势值;所述步骤S3中,当要求计算误差小时,选择基于傅里叶曲线拟合的感知算法,即先通过网络安全态势值序列来计算出一条最大拟合程度的傅里叶曲线,然后再利用该曲线的表达式计算未来时间段的态势值,其具体包括以下步骤:
S301、设定时间序列的间隔t,以天、周或月为时间间隔,对一年的时间序列进行划分;
S302、以t为单位统计网络安全态势值,形成以时间间隔点为横坐标,网络安全态势值为纵坐标的坐标点数组;
S303、根据时间间隔t内坐标的数量计算傅里叶拟合的级数n,利用计算机软件进行傅里叶曲线拟合,得到拟合参数a0,a1,b1,…,an,bn和w,从而确定傅里叶拟合公式:
f(x)=a0+a1cos(wx)+b1sin(wx)+…+ancos(nwx)+bnsin(nwx)
S304、以时间点为横坐标x,利用傅里叶拟合公式计算得到未来时间点的态势预测值,将所有时间点的态势预测值连接,绘制网络安全态势预测曲线,以及相应的预测误差曲线和态势均值曲线;所述S3中,当要求计算时间短时,选择基于曲线轮廓相似性的感知算法,即先通过网络安全态势曲线的形状轮廓来找到最相似的两部分样本数据,然后再预测未来时间段态势值,其具体包含以下步骤:
S311、设定时间t,即态势曲线的横坐标间距,根据实际的网络安全态势曲线计算态势序列每个时间间隔t内的曲线片段的梯度,建立梯度表,存储曲线片段的坐标和梯度,梯度计算公式为:
其中,t为时间间隔,e为时间间隔t内的态势值变化量,g为态势曲线梯度;
S312、设定曲线匹配的时间间隔T,T大于时间序列的间隔t,且大小是t的正整数倍,根据实际的曲线长度确定合适的匹配时间间隔T,取Ti内坐标数据为样本数据fi;
S313、使用梯度匹配算法将样本数据fi的态势曲线Li与总时间序列的态势曲线L进行匹配,找到匹配度最高的曲线为Lj;
S314、选取曲线Lj下一时间间隔T内的曲线Lj+1为预测曲线,即Lj+1为待测样本fi的态势预测曲线,得到相应的态势预测值。
4.如权利要求3所述的基于时间序列的网络安全态势感知方法,其特征在于,所述步骤S1具体的包括以下步骤:
S101、采集包含漏洞数据、系统运行数据、攻击事件数据和资产数据的这四类不同来源的数据集;其中,漏洞数据可通过爬虫的方式从CNNVD、CNVD和CVE等网站采集得到;系统运行数据可由系统主机的日志信息中得到;攻击事件数据可从IDS、防火墙和交换机等设备的日志信息中得到;资产数据是指网络系统中的硬件设备信息和用户资料信息;
S102、从漏洞数据、系统运行数据、攻击事件数据和资产数据中提取对网络安全态势分析有用的主成分数据,以提升算法效率,减小模型计算负担;其中,从漏洞数据中提取漏洞的名称、编号、类型、发布时间、影响设备、威胁等级和商家补丁信息;从系统运行数据中提取IP、端口、协议、指令和网络数据量信息;从攻击事件数据中提取攻击的时间、类型、平台、行为和漏洞利用信息;从资产数据中提取设备的类型、连接数和其中的隐私数据量;
S103、根据提取的主成分数据类型的不同,取值范围的不同,将各类型数据的取值数值化和归一化,并利用D-S证据理论对数据集进行融合处理,计算某一漏洞对网络中主机等设备的威胁程度,即漏洞威胁值。
5.如权利要求4所述的基于时间序列的网络安全态势感知方法,其特征在于,所述步骤S103具体的包括以下步骤:
S103a、针对某一漏洞Vi,根据提取的其主成分信息和主机Hk的运行状态信息建立攻防博弈矩阵,得到该漏洞对主机Hk的静态严重性分值Si,再结合预先规定的该类型漏洞的威胁标准值S,计算漏洞Vi的静态严重性证据Svi,计算公式为:
S103b、从提取的攻击事件主成分数据中获得一段时间内主机Hk上,被利用漏洞Vi进行攻击的事件数量Ai,统计该时间段内主机Hk产生的总攻击事件数量A,计算主机Hk的攻击信息证据Avi,计算公式为:
S103c、根据D-S证据理论的识别框架进行证据合成,得到漏洞Vi的威胁值Evi,Evi越大表明漏洞Vi对主机Hk的威胁越大,主机越不安全,Evi的计算公式为:
其中,Avi为计算主机Hk的攻击信息证据,Svi为漏洞Vi的静态严重性证据。
6.如权利要求5所述的基于时间序列的网络安全态势感知方法,其特征在于,所述步骤S313中,在使用梯度匹配算法时,其具体方法为:
先利用梯度匹配算法进行样本曲线与总态势曲线的匹配,然后采取从后到前的匹配策略,每次匹配一个曲线片段,并从梯度表中寻找与样本曲线梯度差最小的曲线片段,直至匹配到样本首部,最后将上述曲线片段组合,从中选取总误差最小的完整曲线作为与样本曲线相似度最高的匹配结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910597732.6A CN110493179B (zh) | 2019-07-04 | 2019-07-04 | 基于时间序列的网络安全态势感知系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910597732.6A CN110493179B (zh) | 2019-07-04 | 2019-07-04 | 基于时间序列的网络安全态势感知系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110493179A CN110493179A (zh) | 2019-11-22 |
CN110493179B true CN110493179B (zh) | 2022-03-29 |
Family
ID=68545993
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910597732.6A Active CN110493179B (zh) | 2019-07-04 | 2019-07-04 | 基于时间序列的网络安全态势感知系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110493179B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113542196B (zh) * | 2020-04-16 | 2023-03-24 | 北京威努特技术有限公司 | 一种数据报文加密判定方法、装置、系统及存储介质 |
CN112511538B (zh) * | 2020-11-30 | 2022-10-18 | 杭州安恒信息技术股份有限公司 | 一种基于时间序列的网络安全检测方法及相关组件 |
CN113064932B (zh) * | 2021-03-18 | 2023-01-24 | 中国石油大学(华东) | 一种基于数据挖掘的网络态势评估方法 |
CN113032489B (zh) * | 2021-03-29 | 2023-07-21 | 湖北央中巨石信息技术有限公司 | 一种基于区块链的异步共识方法及系统及装置及介质 |
CN113191003A (zh) * | 2021-05-08 | 2021-07-30 | 上海核工程研究设计院有限公司 | 一种核电实时数据趋势拟合算法 |
CN113301043B (zh) * | 2021-05-24 | 2021-11-23 | 珠海市鸿瑞信息技术股份有限公司 | 基于5g工业物联网网络安全终端 |
CN113536311A (zh) * | 2021-07-20 | 2021-10-22 | 国网新疆电力有限公司信息通信公司 | 一种基于ai技术的网络安全态势感知系统及方法 |
CN115102790B (zh) * | 2022-08-24 | 2022-12-20 | 珠海市鸿瑞信息技术股份有限公司 | 基于大数据的网络流量异常感知系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6742124B1 (en) * | 2000-05-08 | 2004-05-25 | Networks Associates Technology, Inc. | Sequence-based anomaly detection using a distance matrix |
CN101459537A (zh) * | 2008-12-20 | 2009-06-17 | 中国科学技术大学 | 基于多层次多角度分析的网络安全态势感知系统及方法 |
CN104348829A (zh) * | 2014-09-26 | 2015-02-11 | 智慧城市信息技术有限公司 | 一种网络安全态势感知系统及方法 |
CN106506485A (zh) * | 2016-10-26 | 2017-03-15 | 中国电子产品可靠性与环境试验研究所 | 网络空间安全态势感知分析方法和系统 |
-
2019
- 2019-07-04 CN CN201910597732.6A patent/CN110493179B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6742124B1 (en) * | 2000-05-08 | 2004-05-25 | Networks Associates Technology, Inc. | Sequence-based anomaly detection using a distance matrix |
CN101459537A (zh) * | 2008-12-20 | 2009-06-17 | 中国科学技术大学 | 基于多层次多角度分析的网络安全态势感知系统及方法 |
CN104348829A (zh) * | 2014-09-26 | 2015-02-11 | 智慧城市信息技术有限公司 | 一种网络安全态势感知系统及方法 |
CN106506485A (zh) * | 2016-10-26 | 2017-03-15 | 中国电子产品可靠性与环境试验研究所 | 网络空间安全态势感知分析方法和系统 |
Non-Patent Citations (2)
Title |
---|
基于D-S证据理论的漏洞动态严重性分析;肖云,彭进业,王选宏,赵健;《Proceedings of the 29th Chinese Control Conference》;20100731;全文 * |
网络安全态势感知综述;龚俭,臧小东,苏琪,胡晓艳,徐杰,;《软件学报》;20161124;第28卷(第4期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110493179A (zh) | 2019-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110493179B (zh) | 基于时间序列的网络安全态势感知系统和方法 | |
CN110380896B (zh) | 基于攻击图的网络安全态势感知系统和方法 | |
CN109886997B (zh) | 基于目标检测的识别框确定方法、装置及终端设备 | |
Zhong et al. | A cyber security data triage operation retrieval system | |
CN107623697B (zh) | 一种基于攻防随机博弈模型的网络安全态势评估方法 | |
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
CN108595655B (zh) | 一种基于会话特征相似性模糊聚类的异常用户检测方法 | |
CN107231382B (zh) | 一种网络威胁态势评估方法及设备 | |
CN105577679A (zh) | 一种基于特征选择与密度峰值聚类的异常流量检测方法 | |
US9692779B2 (en) | Device for quantifying vulnerability of system and method therefor | |
US11575688B2 (en) | Method of malware characterization and prediction | |
CN112115183B (zh) | 一种基于图的蜜罐系统威胁情报分析方法 | |
US20180167260A1 (en) | Resource and Metric Ranking by Differential Analysis | |
CN109359234B (zh) | 一种多维度网络安全事件分级装置 | |
CN111191601A (zh) | 同行用户识别方法、装置、服务器及存储介质 | |
CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
Maghrabi et al. | Improved software vulnerability patching techniques using CVSS and game theory | |
CN112202718A (zh) | 一种基于XGBoost算法的操作系统识别方法、存储介质及设备 | |
US11665185B2 (en) | Method and apparatus to detect scripted network traffic | |
CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
CN115037790B (zh) | 异常注册识别方法、装置、设备及存储介质 | |
CN107085544B (zh) | 一种系统错误定位方法及装置 | |
KR102433581B1 (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
CN115225359A (zh) | 蜜罐数据溯源方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |